¿Google Chrome deja de proteger contra los ataques XSS?

Google elimina XSS Auditor del navegador Chrome después de una serie de vulnerabilidades que han cuestionado la efectividad de esta función.

El otro día, la tecnología Anti-XSS fue reconocida como obsoleta y está planeada para su eliminación, como anunciaron los desarrolladores de Chromium el 16 de julio en los Grupos de Google del proyecto.

A juzgar por las discusiones de los desarrolladores de Chromium, esta decisión estaba relacionada con los problemas de bloqueo de las páginas de muchos sitios de confianza.



XSS Auditor, desde su introducción en 2010 en Chrome 4, ha generado un debate más que activo. Durante su existencia, se identificaron numerosas deficiencias que causaron el rechazo de esta tecnología.

Inicialmente, XSS Auditor trabajó en modo de filtrado: se cargó el recurso web, pero se bloqueó el código sospechoso, lo que no nos impidió encontrar muchas formas de eludir la protección.

Con el tiempo, los desarrolladores de Chrome decidieron cambiar el comportamiento predeterminado al modo de bloqueo. Sin embargo, este método de defensa era vulnerable a un ataque XS-Search / XS-Leak . Además, a menudo conducía a falsos positivos en recursos confiables y a su bloqueo para los usuarios del navegador.

Recientemente, Auditor comenzó a trabajar nuevamente en el modo de filtrado predeterminado (muy probablemente, para reducir el efecto negativo con falsos positivos y bloquear sitios de confianza).

Pero esta decisión muy pronto planteó dudas en principio sobre la efectividad de este mecanismo de protección. Como señaló Frederik Braun (Mozilla) en un estudio conjunto con Mario Heiderich (Cure53), el estudio "X-Frame-Options: All about Clickjacking?" , el modo de filtrado es un enfoque peligroso y bien puede reemplazarse configurando el encabezado X-XSS-Protection: 1; mode = block , que, en principio, tampoco es una panacea.

Vale la pena señalar que el proceso de abandono del Auditor XSS fue propuesto por los desarrolladores de Chromium en octubre de 2018. Se observó que "no hay evidencia de que el auditor esté deteniendo ningún XSS" .



En el futuro, se planea usar el estándar API Trusted Trusted, que con cierta probabilidad se puede aplicar no solo en Google Chrome.